Air Europa, la aerolínea española, ha experimentado un día difícil al confirmar que ha sido víctima de un ciberataque significativo. La gravedad de la situación es evidente ya que la compañía ha instado a sus clientes a cancelar inmediatamente las tarjetas de crédito utilizadas para realizar pagos en sus servicios.
Este llamado a la acción sugiere que los atacantes han obtenido información suficiente como para utilizar las tarjetas de crédito en nombre de sus legítimos propietarios, lo cual es una de las peores consecuencias posibles de un ciberataque de este tipo. Es fundamental examinar cómo esta situación podría haberse evitado con la implementación de sistemas de pago más seguros, como Apple Pay. Otra solución podría ser el uso de pasarelas de pago bancarias que empleen técnicas de tokenización para garantizar que, en caso de robo de datos, los atacantes solo obtengan tokens inútiles en lugar de información financiera sensible.
La clave para comprender por qué Apple Pay es una opción más segura radica en la información que se comparte durante una transacción. Cuando un usuario realiza un pago en línea con una tarjeta de crédito (o débito), se ingresa el número de la tarjeta en el sitio web junto con su código de seguridad de tres dígitos. Según el Security Evangelist de Avast, Luis Corrons, es probable que lo que haya sucedido en este caso sea un ataque conocido como «formjacking», en el que se introduce código malicioso en sitios web, como el de Air Europa, para interceptar estos datos y enviarlos al atacante.
Apple Pay evita que los atacantes obtengan estos datos sensibles porque el número de tarjeta de crédito que se utiliza a través de este servicio no se comparte en ninguna transacción. Este dato se mantiene protegido mediante una capa de cifrado que ni siquiera Apple puede descifrar por sí sola. Solo el sitio web que recibe la compra puede verificar esta información. En palabras de Apple:
«Apple Pay recibe tu transacción encriptada y la vuelve a encriptar con una clave específica del desarrollador antes de que la información se envíe al desarrollador o procesador del pago. Esta clave ayuda a garantizar que solamente la app o el sitio web al que compras puedan acceder a tu información de pago encriptada.
En el caso de los sitios web, deberán verificar su dominio cada vez que ofrezcan Apple Pay como opción de pago. Como ocurre con los pagos realizados en la tienda, Apple envía tu número de cuenta de dispositivo al sitio web o la app junto con el código de seguridad dinámico específico de la transacción. En ningún caso Apple o el dispositivo envían el número de tu tarjeta de pago a la app.»
En resumen, si no se envía ningún número de tarjeta, no se comparte ningún dato que pueda poner en peligro la seguridad del usuario. Aunque un ataque de tipo formjacking pueda robar estos datos de la transacción, el atacante solo obtendrá información cifrada que no puede utilizar.
Este nivel de seguridad también se aplica a las transacciones en cajeros automáticos. Si los usuarios optan por utilizar Apple Pay en lugar de sus tarjetas físicas para retirar efectivo, las técnicas de clonación de tarjetas o el robo de datos de la transacción no tendrán éxito en permitir que alguien saque dinero en nombre del usuario. Esto demuestra que usar Apple Pay desde la aplicación Cartera es una opción más segura que utilizar una tarjeta de débito o crédito directamente.
Aunque Air Europa ya ha tomado medidas para abordar la vulnerabilidad que permitió este ataque, no hay garantía de que eventos similares no puedan volver a ocurrir. En el pasado, la misma aerolínea sufrió otro ataque que resultó en una multa de 600.000 euros, lo que resalta la importancia de mejorar la seguridad en las transacciones en línea y de considerar opciones más seguras como Apple Pay.
